AIㆍML / IoT / 디지털 디바이스 / 보안 / 프라이버시

로봇 해킹, 와이파이 통해 랜섬웨어 공격 가능…IO액티브 보안 연구원

Ms. Smith  | CSO 2018.03.14
SXSW(South by Southwest)에서 HBO의 웨스트월드(Westworld) 패널로 깜짝 등장한 엘론 머스크가 다시한번 인공 지능(AI)에 대한 두려움을 표명했다. 머스크는 "나는 AI의 최첨단에 거의 도달했다. 그래서 정말로 두렵다"며, "지구 상의 그 누구보다도 능력이 뛰어나고 개선 속도가 기하급수적이다"고 말했다.


Credit: Peter Sayer/IDG

또한 머스크는 "AI의 위험은 핵탄두의 위험보다 훨씬 큰 것 같다. 우리가 원한다고 핵탄두를 개발하도록 허락하는 사람은 없다. 그것 미친 짓이다. 반드시 주의하자. AI는 핵보다 훨씬 위험하다"고 덧붙였다.

소프트뱅크 로봇에 대한 랜섬웨어 공격, 개념 증명 해킹 시연
한편, KSAS(Kaspersky Security Analyst Summit)에서는 IO액티브(IOActive) 보안 연구원 루카스 아파가 어린이만한 로봇이 해킹됐을 때 발생할 수 있는 다른 종류의 위험을 시연했다. 당연히 휴머노이드 로봇이 잔인한 처키(Chucky) 인형처럼 행동하도록 해킹한 것과는 다르지만 이 개념 증명(Proof-of-concept) 해킹은 로봇에 대한 최초의 랜섬웨어 공격을 보여줬다.

다양한 로봇 개발업체의 로봇에서 약 50개의 취약점을 식별한 이전의 연구에 기초해 IO액티브의 시저 세루도와 루카스 아파는 휴머노이드 로봇 나오(NAO)를 해킹하면서 동일한 운영체제를 사용하며 같은 취약점이 있는 페퍼(Pepper)도 같은 공격이 통할 것이라고 말했다. 

소프트뱅크 로보틱스(SoftBank Robotics)는 지금까지 이런 로봇을 3만 대 이상 판매했으며 2만 대의 페퍼 로봇은 현재 스프린트(Sprint) 등의 기업에서 사용되고 있고 1만 대의 나오 로봇은 교육 및 연구 도구로 사용되고 있다.

아파는 "꽤 놀라운 사실을 발견했다. 기업들을 상대로 랜섬웨어 공격을 활용해 사업을 중단시키고 중요한 자산의 복구에 대한 대가를 지불하도록 강제할 수 있다"고 말했다.

공격자가 로봇에 물리적으로 접근하지 않아도 이 공격은 효과가 있다. 그 대신 로봇과 같은 와이파이 네트워크에 접속해야 한다. 로봇은 소매 상점의 공공 인터넷 등에 연결되어 있을 수 있다. 세루도가 다른 매체에서 밝힌 또 다른 가능성은 공격이 인터넷에 연결된 다른 컴퓨터 또는 장치를 통해 이루어져 컴퓨터가 해킹되고 해킹된 컴퓨터와 같은 네트워크에 있는 로봇을 해킹할 수 있다는 점이다.

개념 증명 공격에서 연구원들은 랜섬웨어를 작성해 나오 로봇 모델에 업로드했다. 언론에서는 "아무 행동 파일 클래스에나 사용자 정의 코드를 주입함으로써 그들은 로봇의 행동을 악의적으로 바꾸었다. 감염된 로봇에서 발생할 수 있는 악의적인 행동에는 서비스 전면 중단, 로봇 디스플레이에 성인물 표시, 욕설, 폭력적인 행동 등이 포함된다. 또한 감염된 로봇은 기업의 다른 내부 네트워크로의 통로가 되어 해커를 위한 백도어(Backdoor) 접속 그리고 민감한 데이터를 훔치기 위한 계층 침투 진입점을 제공한다"고 설명했다.



"로봇도 비트코인을 원한다!(Robots Want Bitcoins too!)"라는 제목의 이 동영상에서 연구원들은 "로봇용 랜섬웨어는 잠재적으로 일반 랜섬웨어보다 훨씬 큰 경제적인 영향을 가진 진정한 위협이다"고 밝혔다.

이 1만 달러짜리 로봇을 수리하기 위해 소프트뱅크로 돌려보내기 위해서는 수주가 소요된다. 이 연구원은 "기업들은 로봇이 작동하지 않는 시간 동안 매출 손실, 생산 그리고 수리 비용 등의 손해를 입는다. 대가를 지불해 로봇이 다시 신속하게 작동하도록 하는 것이 이런 대안보다 더 저렴할 수 있다"고 말했다.

해당 게시물에서 연구원은 "프라이버시와 친밀함이 사용자의 주된 관심사인 섹스 로봇의 특수 사례에서 기술 지원부서 문의, 수거 계획 및 고객 센터 통화 중 신중하지 않으면 사용자가 감정적으로 좋지 못한 결과에 대응하는 대신에 로봇을 되돌려주는 것에 대한 대가를 지불할 유인을 제공할 수 있다"고 덧붙였다.

IO액티브는 소프트뱅크 로보틱스 측에 2017년 1월에 발견된 보안 취약점에 대해 알렸지만 해당 기업은 해당 결함을 해결하지 않았다.

로봇 취약점에 대한 소프트뱅크의 대응
이 연구원들의 최근 발견 사항에 대해 소프트뱅크는 나오를 언급하지 않고 페퍼에 관한 성명서를 발표했다. 하지만 페퍼와 나오는 같은 운영체제를 사용하며 같은 취약점을 공유한다. 소프트뱅크 측은 "페퍼 사용 시 와이파이 네트워크 보안을 유지하고 로봇 비밀번호를 올바르게 설정해야 한다. 페퍼에 대한 보안 조치를 지속적으로 개선해 직면할 수 있는 위험에 대응할 수 있도록 하겠다"고 밝혔다.

연구원들은 ""개념 증명 랜섬웨어는 소프트뱅크의 나오와 페퍼 로봇에 영향을 끼쳤지만 같은 공격이 취약한 거의 모든 로봇에 가능할 수 있다"며, "로봇 개발업체들은 보안을 개선할 뿐 아니라 로봇의 메커니즘을 복원, 업데이트해 랜섬웨어 위협을 최소화해야 한다. 로봇 개발업체가 신속하게 대응하지 않으면 로봇에 대한 랜섬웨어 공격으로 전 세계의 기업이 제대로 기능하지 못할 수 있다"고 경고했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.